安全的Redis
攻击者利用Redis持久化RDB文件,在key中设置成登入的公钥,保存在免密码登入的ssh列表中,之后攻击者就可以免密码登入到主机
- 设置密码:
requirepass和masterauth配置项,主节点和从节点都要设置,以防主从交互时,从节点无法读取交互后的主节点命令,客户端使用auth命令进行密码验证,要注意auth还是通过明文传输,可以通过抓包破解 - 禁用危险命令:配置文件中
rename-command配置项将命令重命名为空字符串,就可以禁用命令,要注意之前持久化文件中包含重命名的命令时,也无法使用重命名后的命令 - 绑定网卡访问:配置文件中使用
bind配置项配置为内网网卡,限制外网访问,尽量不要配置为127.0.0.1,以免集群时无法同步 - 开启防火墙
- 定期备份数据
- 不使用默认端口启动服务
- 使用权限较低的用户启动服务
Comments NOTHING